Schrift
Start · Board · Webprogrammierung mit Perl · mod_perl und Apache
[thread]11882[/thread]

[mod_perl] Sicheres Konzept von Verzeichnissen

Leser: 3


<< >> 8 Einträge, 1 Seite
GwenDragon
 2008-05-22 17:59
#110091 #110091
User since
2005-01-17
14890 Artikel
Admin1
[Homepage]
user image
Ich will hier mal was zur Diskussion stellen.

Es gibt bei mod_php die Möglivchkeit, User nur auf ihre in der (Server-,VHost-, php-ini)-Konfiguration angegebenen Verzeichnisse zu beschränken. Das geschieht bspw. mit open_basedir

Bei mod_perl existiert wohl kein solches Konzept und deswegen können per mod_perl aufgerufenen Skripte überall Verzeichnisse lesen.

Jedenfalls finde ich nichts in der mod_perl-doku oder habe ich Kamele auf den Augen?

Welche Erfahrungen und Wurgarounds habt ihr da.
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
GwenDragon
 2008-05-24 11:42
#110179 #110179
User since
2005-01-17
14890 Artikel
Admin1
[Homepage]
user image
Ja, schön wäre es.
Kein Wunder, das ich das MPM im Manual überlas.
Das Modul ist exprimentell, unfertig, und deswegen nicht auf einem Produktivsystem sinnvoll.
Quote
This module is not functional. Development of this module is not complete and is not currently active. Do not use perchild unless you are a programmer willing to help fix it.
http://httpd.apache.org/docs/2.0/mod/perchild.html

Laut Felix Schwarz und sonstigen Googeln (lang zu suchen) gibt es noch:
Metux MPM (kein aktueller Link; Wiki ist nur noch SPAM dort)
Peruser MPM
MPM ITK

http://mitka.us/articles/mpm-itk/


Allerdings ist es so, dass peruser-mpm auch (immer noch) experimentell udn nicht für Produktivsysteme ist.
Sowie bei mpm-itk der ganze Apache neu kompiliert werden muss.
Schlecht für einen Produktivserver.


mod_perl ist sehr schön, aber warum hinkt es da so nach, was Multiuserumgebungen auf Servern anbelangt?
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
RPerl
 2008-05-23 17:25
#110186 #110186
User since
2006-11-26
384 Artikel
BenutzerIn

user image
Die Rechte des Benutzers auf der Systemebene eingrenzen waere z.B. eine.
GwenDragon
 2008-05-23 20:02
#110193 #110193
User since
2005-01-17
14890 Artikel
Admin1
[Homepage]
user image
RPerl+2008-05-23 15:25:41--
Die Rechte des Benutzers auf der Systemebene eingrenzen waere

Wie meinst du das genau?
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
topeg
 2008-05-23 21:26
#110200 #110200
User since
2006-07-10
2611 Artikel
BenutzerIn

user image
Wenn die Userrechte des Apache nicht ausreichen um außerhalb seiner Verzeichnisse zu zu greifen kann das Script das auch nicht.

Direkt zu mod_perl wüßte ich nichts.
Ansonsten gäbe es noch mod_suexec, was aber nicht mit mod_perl zusammen arbeitet
und natürlich mod_fastcgi, das ist aber auch ein anderer Ansatz.

Dann gäbe es wohl noch das:
http://httpd.apache.org/docs/2.0/mod/perchild.html
Das sollte auch mit mod_perl zusammenarbeiten, aber reif für die Nutzung scheint es nicht zu sein.
betterworld
 2008-05-24 14:37
#110215 #110215
User since
2003-08-21
2614 Artikel
ModeratorIn

user image
Genau wie bei mod_php ist es ja bei mod_perl so, dass der ganze Code mit denselben Benutzerrechten, ja sogar im selben Prozess (bzw. denselben Prozessen) läuft. Da eine Rechteverwaltung einzubauen finde ich eigentlich nicht so ein schönes Konzept, weil man da praktisch die ganze Rechteverwaltung des Betriebssystems umgeht und noch einmal nachbaut.

Aber vielleicht kann man ja mit CPAN:Safe irgend etwas bauen...
Lieblingsmodule: CPAN:IPC::System::Simple, CPAN:Path::Class
Gast Gast
 2008-05-24 16:40
#110224 #110224
mod_mpm_itk ist bei Debian schon dabei
GwenDragon
 2008-05-24 16:59
#110226 #110226
User since
2005-01-17
14890 Artikel
Admin1
[Homepage]
user image
Habe aber CentOS.
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
<< >> 8 Einträge, 1 Seite



View all threads created 2008-05-22 17:59.